Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Resumen
Hace ya tiempo que nadie discute la necesidad de cuidar la ciberseguridad en
empresas de todos los tamaños o simplemente en cualquier negocio que ofrezca
un servicio a través de la red; sin embargo, son pocas las que han implementado
una política de seguridad adecuada. Es por ello que este documento se centrará
en instruir en cuanto a la evaluación y gestión de vulnerabilidades, así como los
principales vectores de ataque usados por los cibercriminales en la actualidad.
También se tratará la incidencia de las principales normativas, como la ley de
Protección de Datos de Carácter Personal (LOPD) y el Reglamento General de
Protección de Datos europeo (GDPR). Para concluir, se llevará a cabo un estudio
de mercado de las principales empresas que ofrecen productos relacionados con
la evaluación de vulnerabilidades (Vulnerability Assessment) y se analizarán sus
distintas soluciones ofertadas.
Palabras clave: Ciberataque, Vulnerabilidad, OWASP Top 10, LOPD, GDPR, Ges-
tión de activos, Escáner de vulnerabilidades, Políticas de seguridad
Abstract
For some time now nobody has discussed the need to take care of cyberse-
curity in companies of all sizes or simply in any business that offers a service
through the network; however, few have implemented an adequate security pol-
icy. That is why this document will focus on instructing in the assessment and
management of vulnerabilities, as well as the main attack vectors used by cy-
bercriminals today. The incidence of the main regulations will also be discussed,
such as the law on the Protection of Personal Data (LOPD) and the European Gen-
eral Data Protection Regulation (GDPR). To conclude, a market study of the main
III
IV
1 Introducción 1
1.1 Motivación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
1.2 Objetivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
1.3 Estructura de la memoria . . . . . . . . . . . . . . . . . . . . . . . . . 2
2 La ciberseguridad en la actualidad 5
2.1 Inyección . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
2.2 Pérdida de Autenticación y Gestión de Sesiones . . . . . . . . . . . 7
2.3 Exposición de Datos Sensibles . . . . . . . . . . . . . . . . . . . . . . 8
2.4 Entidad Externa de XML (XXE) . . . . . . . . . . . . . . . . . . . . . 9
2.5 Pérdida de Control de Acceso . . . . . . . . . . . . . . . . . . . . . . 9
2.6 Configuración de Seguridad Incorrecta . . . . . . . . . . . . . . . . . 9
2.7 Secuencia de Comandos en Sitios Cruzados (XSS) . . . . . . . . . . 10
2.8 Deserialización Insegura . . . . . . . . . . . . . . . . . . . . . . . . . 10
2.9 Uso de Componentes con Vulnerabilidades Conocidas . . . . . . . . 11
2.10 Registro y Monitorización Insuficientes . . . . . . . . . . . . . . . . 11
2.11 Normativa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
2.11.1 GDPR . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
2.11.2 LOPD . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
3 Ataques históricos 17
3.1 Stuxnet - 2010 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
3.2 Saudi Aramco - 2012 . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
3.3 Yahoo - 2013/2014 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
3.4 Ashley Madison - 2015 . . . . . . . . . . . . . . . . . . . . . . . . . . 19
3.5 Hacking Team - 2016 . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
3.6 Banco Central de Bangladesh - 2016 . . . . . . . . . . . . . . . . . . . 20
3.7 Wannacry - 2017 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
4 Evaluación y Gestión de Vulnerabilidades 23
4.1 Objetivos y Fases . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
4.2 Tipos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
4.2.1 Origen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
4.2.2 Alcance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
4.3 Herramientas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
4.3.1 Catalogación de activos . . . . . . . . . . . . . . . . . . . . . 28
4.3.2 Descubrimiento y verificación de vulnerabilidades . . . . . . 29
4.3.3 Cuantificación de la importancia . . . . . . . . . . . . . . . . 29
V
VI ÍNDICE GENERAL
Índice de tablas
5.1 Tabla de calificación no 1. . . . . . . . . . . . . . . . . . . . . . . . . . 69
5.2 Tabla de calificación no 2. . . . . . . . . . . . . . . . . . . . . . . . . . 69
VII
CAPÍTULO 1
Introducción
Se trata de un bien valioso y de una producción cada vez mayor, donde gene-
ran grandes bases de datos desde la mayor multinacional en ventas online hasta
la más humilde aplicación gratuita de la Play Store. Este no es un tema baladí pa-
ra empresas que manejan grandes cantidades de información, la cual podría ser
considerada verdaderamente valiosa más allá del valor que tiene para la propia
empresa.
Y lo que suele ocurrir cuando se pueden generar datos de una forma relativa-
mente sencilla es que la seguridad de estos no está al nivel de las amenazas hacia
dicha información, ya sea por falta de concienciación o conocimiento técnico.
Son estos dos últimos aspectos en los que pretende incidir este estudio, como
bien se explicará en los objetivos y posteriormente se desarrollará a lo largo de
todo el documento.
1.1 Motivación
La motivación para la realización de este trabajo surge en primer lugar de mi
fascinación por la ciberseguridad, un campo de la informática que a la vez es una
parte importante de todas las ramas que componen esta ciencia.
No solo porque se trate de una variante muy transversal y que requiere un al-
to grado de especialización en tecnologías muy distintas, sino por la volatilidad
de un ecosistema siempre cambiante.
Lo que ayer servía para tomar el control de un sistema te servirá esta semana
pero probablemente la semana que viene ya no tendrá un uso real, y ello exige
al profesional de la ciberseguridad estar en un proceso continuo de renovación y
aprendizaje.
1 Monica Atwal, «Data is fast becoming more valuable than gold».
1
2 Introducción
Por todo esto considero que sería de utilidad un documento donde se exponga
la problemática de estos ataques y un estudio de mercado comparando diferen-
tes productos que podrían haber prevenido estas brechas de la seguridad con un
esfuerzo mínimo.
1.2 Objetivos
El principal objetivo es instruir al lector sobre las prácticas de la evaluación
y gestión de vulnerabilidades, así como concienciar de la importancia de poner
estas políticas en uso para estar a salvo de los cibercriminales, proporcionando al
lector una serie de soluciones concretas que cubren esta problemática.
de vulnerabilidades, así como los diferentes tipos de esta que existen, explicando
las cualidades y características destacadas de cada uno.
Para mostrar de una manera ordenada y detallada los diferentes productos que
existen actualmente para llevar a cabo una correcta evaluación y gestión de vul-
nerabilidades, se realizará un estudio de mercado donde se presentarán las for-
talezas y debilidades de cada solución, así como la facilidad de implementación
de cada uno. Este análisis concluirá con una tabla comparativa para las distintas
soluciones analizadas y unos ejemplos de elección de solución por parte de hipo-
téticas empresas.
Pese a ser un tema novedoso para el público general la ciberseguridad lleva sien-
do la mayor preocupación para los gestores de riesgo desde hace tres años[3]. No
parece ser para menos cuando estudios como el realizado por el Centro para Es-
tudios Estratégicos e Internacionales (CSIS) y la multinacional especializada en
seguridad informática McAfee estima en 600,000 millones de dólares el peaje que
cobra anualmente el cibercrimen a la economía global[4].
5
6 La ciberseguridad en la actualidad
Sin embargo y pese a todos los avances y supuesta profesionalización del ciber-
criminal el grueso de los ataques se basan en vulnerabilidades que ya han sido
publicadas y mayormente poseen sus correspondientes parches de seguridad pu-
blicados por el proveedor.
Estas afirmaciones no vienen de cualquier profesional de la seguridad, sino del
presidente de la Agencia de Seguridad Nacional estadounidense (NSA) en la con-
ferencia RSA 20183 :
’Cada día luchamos contra una nueva ciberamenaza, pero cuanto más cambian las co-
sas más se mantienen igual.’
’Tenemos a sofisticados adversarios usando medios poco sofisticados para causar un gran
daño. De hecho, os diré como supervisor de los equipos de operaciones de la NSA que no
hemos respondido a una vulnerabilidad de día cero 4 en más de 24 meses.’
’Nuestros adversarios se están metiendo en nuestras redes usando medios no técnicos,
aprovechándose de tecnologías hardware y software que no cumplen con las últimas ac-
tualizaciones, y aprovechándose de malas prácticas de seguridad como hacer uso de solu-
ciones que ya no están soportadas por el vendedor.’ [9]
Es por ello que este documento pretende instruir al lector sobre como prevenir
este tipo de ataques, que serán a los que se van a tener que enfrentar todas las
organizaciones en un futuro próximo, si no inmediato.
A continuación se procederá a explicar las mayores amenazas actuales a través
del OWASP Top 10.
1 Ransomware: Software malicioso que restringe o cifra el acceso a archivos del sistema afectado, pidiendo
2.1 Inyección
Los fallos por inyección suceden cuando el atacante mediante un comando o
consulta es capaz de enviar datos no confiables al intérprete. De entre las diferen-
tes inyecciones destacan las SQL, NoSQL, OS y LDAP.
Esta inyección de datos puede forzar al intérprete a ejecutar los comandos desea-
dos por el atacante o incluso acceder a datos para los que no tiene autorización.
7 Top
10,000 Worst Passwords,https://github.com/skyzyx/bad-passwords
8 Hashing:Función resumen, que a partir de un conjunto de elementos como entrada los convierte en
un rango de salida finito.
9 SALT: Dato aleatorio que se añade como entrada a una función hash para dificultar los ataques por
diccionario.
2.4 Entidad Externa de XML (XXE) 9
Para poder prevenir este tipo de accesos ilegítimos la política en caso de dudas
debe ser denegar predeterminadamente y el personal involucrado en los test de
calidad deberían incluir pruebas de control de acceso en sus pruebas.
Para los sistemas actualizados, cuando las nuevas funciones de seguridad se en-
cuentran desactivadas o no se encuentran configuradas de forma adecuada o se-
gura.
Instalar o habilitar características innecesarias, como podrían ser puertos, cuentas
o servicios, y dejar en estos las cuentas predeterminadas activadas con sus con-
traseñas por defecto.
Estos defectos se podrían evitar haciendo uso de una plataforma minimalista sin
funcionalidades más allá de las extrictamente necesarias o componentes que pue-
dan significar una mayor exposición.
Se recomienda la automatización de los procesos de actualización de los compo-
nentes y un proceso automatizado para verificar la efectividad de los ajustes y
configuraciones en todos los ambientes.
XSS Reflejado: La aplicación o API utiliza datos obtenidos del usuario sin vali-
dar y son codificados como parte del HTML o Javascript de salida. Un ataque
exitoso permite al atacante ejecutar comandos arbitrarios (HTML y Javascript) en
el navegador de la víctima.
XSS Almacenado, la aplicación o API almacena datos proporcionados por el usua-
rio que a posteriori son visualizados o utilizados por otro usuario o administra-
dor. Este suele ser el más peligroso de los tres tipos.
XSS Basado en DOM, frameworks en JavaScript, aplicaciones de página única o
APIs incluyen datos dinámicamente, controlables por un atacante.
Para prevenir ataques XSS se recomienda usar frameworks que por diseño codi-
fiquen el contenido, como Ruby 3.0 o React JS.
Contra el XSS Reflejado y el XSS Almacenado bastaría con codificar los datos de
requerimientos HTTP no confiables en los campos de salida HTML, mientras que
para evitar el DOM XSS al modificar el documento en el navegador cliente hay
que aplicarle codificación sensitiva del texto.
2.11 Normativa
Hoy en día cualquier empresa por pequeña que sea tiene una página web,
la cual de normal también tiene un formulario de contacto. Contando solamente
con esta funcionalidad tan simple ya se está obteniendo datos personales e in-
formación privada del usuario, y esta se va a tener que gestionar de una forma
correcta y con una seguridad adecuada para estos datos recolectados.
Un formulario de contacto es una cantidad ínfima de información si lo compara-
mos con negocios que operan directamente a través de internet, los cuales pueden
llegar a albergar contenido del usuario tan sensible como fotos o datos de la tarje-
ta de crédito o contraseñas. Cuanto mayor es el valor de esta información mayor
es la probabilidad de que hayan ciberatacantes buscando conseguirla, y por ende
mayor riesgo en general para la compañía.
2.11.1. GDPR
El Reglamento General de Protección de Datos (RGPD o GDPR) es una nor-
mativa europea que afecta con carácter obligatorio desde el 25 de mayo de 2018 a
todas las empresas que traten datos de ciudadanos europeos.
2.11 Normativa 13
Estas restricciones se aplican a todas aquellas entidades que traten datos de ca-
rácter personal de usuarios que se encuentren dentro de la Unión Europea. Esto
incluye a responsables y encargados no establecidos en Europa pero con datos de
ciudadanos de la UE.
La GDPR contempla que la actuación cuando ya se ha dado la infracción no es
suficiente como estrategia, ya que esta puede suponer unos daños a los interesa-
dos difícilmente compensables o reparables. Es por ello que estas empresas que
tratan datos tienen que llevar a cabo un análisis de riesgo de sus procedimientos
para determinar qué medidas han de aplicar y cómo hacerlo.
Para obtener los datos de carácter personal se incide en que la obtención de estos
debe de sustentarse en un consentimiento por parte del usuario libre, informado,
específico e inequívoco; no aceptándose un consentimiento tácito que servía en
anteriores normativas como la antigua LOPD.
A la hora de obtener este consentimiento las empresas tienen la obligación de
informar de una manera concisa, transparente e inteligible, de una forma clara
y concisa en torno a la base legal para el tratamiento de los datos, los períodos
de retención de los mismos y otros aspectos. También es obligatorio informar al
titular de los datos cómo puede ejercer sus derechos sobre estos, como el derecho
de portabilidad, por el cual la organización debe proporcionar al titular la infor-
mación que tiene suya en un formato estructurado y de uso común.
2.11.2. LOPD
La Ley Orgánica de Protección de Datos de Carácter Personal se encuentra
vigente en España desde el 14 de Diciembre de 1999 con objeto de ’garantizar y
proteger, en lo que concierne al tratamiento de los datos personales, las libertades públi-
cas y los derechos fundamentales de las personas físicas, y especialmente de su honor e
intimidad personal y familiar’10 que se sustenta en el artículo 18 de la Constitución
Española que enuncia: ’La Ley limitará el uso de la informática para garantizar el honor
y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos’.
Principalmente esta ley obliga a dar de alta los ficheros con datos de clientes en
la Agencia Española de Protección de Datos, elaborar y mantener actualizado el
Documento de Seguridad, en el cual se deben incluir las medidas de seguridad a
nivel técnico y organizativo de la empresa, y obtener la legitimidad de los datos
por parte de los afectados.
Hasta el 25 de mayo de 2018 estaba vigente exclusivamente la LOPD, pero a par-
tir de esta fecha entró en vigor la GDPR, derogando parte de esta normativa.
Por esta razón era necesaria una nueva LOPD que se centrara en complementar
la ley europea, a la par que profundizando en temas que no incide tanto la GDPR.
Solo se puede pedir consentimiento para solicitar los datos que sean exclu-
sivamente necesarios para el servicio y/o producto prestado al usuario.
El consentimiento para la cesión de datos por parte del usuario debe ser
activo y verificable, teniendo que ser registrado para posteriores comproba-
ciones.
Los avisos de seguridad al usuario deberán tener la base legal del tratamien-
to de datos especificada, al igual que informar del tiempo que se retendrán
10 BOE núm. 298 de 14 de Diciembre de 1999
2.11 Normativa 15
los datos. Todo esto debe de ser expuesto de una forma clara y concisa para
facilitar la comprensión del lector.
Las empresas que no actúen conforme a estas dos normativas desde el 26 de ma-
yo de 2018 pueden ser objeto de sanción.
Estas sanciones pueden llegar hasta los 20 millones de euros u oscilar entre el 2 %
y el 4 % del volumen de negocio en función de la gravedad y cantidad de infrac-
ciones cometidas.
Pero para comprender realmente dónde estamos hay que saber de dónde veni-
mos. Y es que han tenido lugar ciberataques que han costado millones a grandes
empresas, o incluso la quiebra debido a la pérdida de toda la credibilidad que
pudieran tener.
17
18 Ataques históricos
Por ello y para mostrar los casos reales que se dan cuando no se adoptan políticas
correctas en cuanto a la evaluación y gestión de vulnerabilidades, se procederá en
los siguientes puntos a exponer en orden cronológico los casos más significativos
que se han dado en la historia de esta joven rama de la informática:
El objetivo de este ataque era la central nuclear Natanz, en Irán. Stuxnet tenía
como objetivo los controladores industriales Siemens S7-315, usados por los ira-
níes en sus centrifugadoras. El malware se encargaba de hacer grandes variaciones
en la velocidad de los rotores de las centrifugadoras, reduciendo drásticamente
su vida útil debido a la vibración de estos y retrasando el programa nuclear iraní.
Sin embargo, pese a la gravedad del ciberataque podría haber sido mucho peor
según la investigación de FireEye. Aseguran que el objetivo del ataque era en
realidad el Sistema de Seguridad Instrumentado (SIS), encargado de la protec-
ción del proceso de manufactura. El malware falló y como efecto colateral dejó
inutilizable la red de Aramco, pero se presume que los daños hubieran sido os-
tensiblemente mayores de haber funcionado correctamente.
Como efecto colateral Saudi Aramco se vio obligada a comprar un gran volumen
de discos duros inmediatamente, por ello el precio de estos entre Septiembre de
2012 y Enero de 2013 a nivel mundial fue ligeramente superior a su verdadero
valor[16].
La autoría y método del ataque no han sido confirmados, aunque las investi-
gaciones del FBI apuntan a hackers rusos haciendo uso de ingeniería social[17].
Los datos se expusieron en dos tandas, tras la primera Ashley Madison afirmó
que los datos eran falsos pero quedaron en evidencia tras el segundo volcado de
datos, que incluía mails de personal de la empresa, incluido el CEO.
2 Hacktivista: Persona que realiza ciberataques con objeto de la defensa de unos ideales o fines políticos.
20 Ataques históricos
El caso no quedó ahí, ya que se descubrió que pese a cobrar por borrar totalmente
los datos de los usuarios registrados, ese borrado nunca llegaba a tener lugar, y
también se descubrió un número significativo de bots3 entre las supuestas usua-
rias femeninas.
Nunca se llegó a confirmar cómo se realizó el ataque aunque todo parece indicar
que se trató de una filtración de datos por parte de un trabajador de la empresa.
Contra todo pronóstico la empresa sobrevivió tras pagar 11,2 millones de dólares
a las víctimas del filtrado y la página sigue ofreciendo sus servicios[18].
Todo parece indicar que P.F. encontró una vulnerabilidad 0-day y creó una pieza
de malware que hacía uso de esa vulnerabilidad, siendo este diseñado para evitar
los sistemas de detección de la empresa italiana. A continuación consiguió extraer
todo el código fuente de Hacking Team gracias a sus propios backups y eludien-
do todas las medidas de seguridad de sus sistemas, lo que es sin lugar a dudas
una proeza histórica en el mundo de la seguridad informática[19].
Este tipo de ataques fueron lanzados por oleadas durante todo el año pero la
campaña Wannacry destaca sobre el resto.
El ciberataque fue lanzado a nivel mundial con un origen desconocido y afectó a
casi todos los países del mundo; grandes empresas españolas como Gas Natural,
Iberdrola o Telefónica cayeron víctimas de este ransomware.
El alcance del ataque podría haber sido mucho mayor si Marcus Hutchins, ex-
perto en ciberseguridad británico, no se hubiera dado cuenta de que el malware
primero hacía una petición a un dominio inexistente antes de cifrar los archivos.
Una vez Marcus adquirió este dominio el ransomware dejó de cifrar los archivos.
Pero lo más grave del caso es que Wannacry hacía uso de EternalBlue como ex-
ploit4 para difundirse, una vulnerabilidad ya conocida y publicada que había sido
solucionada en el parche de seguridad de Microsoft MS17-010, disponible desde
el 14 de Marzo de 2017.
La campaña de Wannacry fue lanzada el 12 de Mayo de 2017, prácticamente un
mes después del lanzamiento del parche de Windows[22] y logró llegar a sacudir
los cimientos de grandes multinacionales[21].
4 Exploit:Software que hace uso de una vulnerabilidad informática para provocar un comportamiento
no deseado en el sistema que se ejecuta.
CAPÍTULO 4
Evaluación y Gestión de
Vulnerabilidades
Es por ello que en este documento de aquí en adelante se referirá a ambos con-
juntos en un pack indivisible de uno solo. Más allá de los procedimientos que
tienen en común a la hora de conseguir su objetivo, no sería concebible el uso
de un conjunto de técnicas sin el otro, ya que sería a todas luces dejar el trabajo
inacabado.
La evaluación de vulnerabilidades se alimenta de los procesos de la gestión de
23
24 Evaluación y Gestión de Vulnerabilidades
Este gran objetivo puede desglosarse en otros objetivos menos ambiciosos que
se tienen que ejecutar por fases y en orden, ya que cada uno de estos procesos
depende de los datos generados como salida del proceso anterior.
En primer lugar hay que realizar un listado de todos los activos que se
desean incluir en el proceso.
Estos activos pueden ser de cualquier tipo, desde redes enteras hasta PCs
individuales. Los activos dependerán del tipo de evaluación, como se expli-
cará más adelante.
2 Fuzzer:Técnica de pruebas de software que implica proporcionar datos inválidos, inesperados o aleato-
rios a las entradas de un programa de ordenador.
4.2 Tipos 25
Una vez tenemos catalogados todos los activos sobre los que trabajaremos
y las vulnerabilidades explotables, se procederá a realizar una evaluación
de cada dispositivo en el contexto del sistema.
Es importante contextualizar con todo el sistema, ya que activos que pue-
den parecer no críticos y con vulnerabilidades que sí lo son pueden llegar a
hacer caer el sistema en función del rol que estos jueguen en el conjunto.
Llegados a este punto ya tenemos todas las piezas para elaborar un plan
de acción.
Una vez que ya contamos con un listado de activos con su respectiva im-
portancia para el sistema y vulnerabilidades ya filtradas solo queda que
unir todas las piezas.
Se priorizarán las vulnerabilidades en función de su criticidad para el sis-
tema completo en vez de para el propio activo, buscando dar una mayor
seguridad al sistema en conjunto.
4.2 Tipos
La evaluación y gestión de vulnerabilidades no es una técnica que deje mu-
cho lugar a la variación o la innovación, sin embargo sí que se pueden encontrar
diferencias basándose en dos aspectos.
se lanzan todos los procesos relacionados con los tests, mientras que por otro la-
do se diferencia en función del alcance del escaneo, pudiendo tener como objetivo
una sola máquina, una red, una aplicación, etc.
4.2.1. Origen
Externo
El test externo o black box es realizado desde fuera del sistema a analizar, sin
un conocimiento previo de las características de este o de cualquier información
privilegiada y con la intención de comprometer el sistema desde el exterior.
Interno
El test interno o white box es realizado desde el interior del sistema a analizar,
en este tipo de evaluación es usual contar con información previa de la estructura
del sistema y se asume el rol de alguien de dentro en el que se confía, o directa-
mente es realizado desde un agente instalado en un activo.
Cuando se realiza la evaluación desde esta situación se enfoca más a los ries-
gos respecto de un atacante que ha conseguido un acceso limitado al sistema o
un agente supuestamente confiable del sistema que está actuando contra este.
4.2.2. Alcance
Como también se ha explicado en los tipos de evaluación según el origen, un
test completo de evaluación y gestión de vulnerabilidades combinará los cinco
3 Open Source Intelligence: Inteligencia de fuentes abiertas
4.2 Tipos 27
Red
Host
Es por esto último que este escaneo puede aportar una mejor imagen de las con-
figuraciones establecidas y parches aplicados en cada dispositivo.
Una desventaja de este tipo de tests es que debido a la gran cantidad de confi-
guraciones y características a las que tiene acceso el tiempo de análisis de estas
también será superior, prolongando la duración total del escaneo.
Por ello es muy importante encontrar un buen equilibrio entre el alcance deseado
y el tiempo que estamos dispuestos a asumir.
Wireless
Los escaneos basados en wireless son similares a los de red, ya que también
presentan primero un descubrimiento de dispositivos y fingerprinting, pero esta
vez mediante Wi-Fi.
Aplicación
Los escaneos de aplicación se suelen concentrar en los sitios web para detectar
malas configuraciones o vulnerabilidades del software usado.
Este tipo de tests suelen tratar las vulnerabilidades típicas de la web, que ya se
han explicado en el OWASP Top 10, como pueden ser las inyecciones SQL, ata-
ques XSS o la exposición de datos sensibles entre otros.
Base de datos
4.3 Herramientas
Todo lo explicado hasta ahora no sería realizable si no se contara con las apli-
caciones de más bajo nivel necesarias para hacer estos descubrimientos.
No es la intención de este apartado realizar un análisis exhaustivo de todas ellas,
ya que se saldría del alcance del documento, sino explicar brevemente qué uso se
les dan en cada fase de la evaluación y gestión de vulnerabilidades.
Estas herramientas realizan un escaneo del sistema a evaluar para registrar to-
dos los dispositivos que se encuentren. Estos activos se pueden ver, gestionar y
editar a posteriori, así como actualizar los activos tras nuevos escaneos.
Al ser aplicaciones con soluciones tan específicas también se pueden dividir prác-
ticamente en los mismos tipos presentados para el alcance de la evaluación. Cada
uno de ellos se especializa en vulnerabilidades y fallos de configuración de su
tipo en concreto.
A continuación se muestran unos pocos ejemplos de las clases más usuales:
Pero si el escáner no tiene un ránking propio también puede hacerse uso del de
terceros como Arcsight o idealmente del Common Vulnerability Scoring System
(CVSS), un estándar de industria abierto y gratuito para evaluar la peligrosidad
de la vulnerabilidad. Actualmente se encuentra bajo la custodia del NIST 5 y las
puntuaciones oscilan entre 0 y 10, calificando de 0 a 3.9 como Bajo, de 4 a 6.9 como
Medio y de 7 a 10 como Alto.
A la hora de realizar los informes manualmente habrá que tener en cuenta varios
aspectos en cuanto a la forma y el contenido, como bien se explica en el siguiente
punto.
4.4 Informes
El informe es una parte fundamental de la evaluación y gestión de vulnerabi-
lidades, ya que es el encargado de mostrar el trabajo realizado de una forma clara
y comprensible.
Este documento debe contener toda la información útil adquirida en las diferen-
tes fases y usar esta como justificación en la hoja de ruta propuesta para mejorar
la seguridad del sistema.
Generalmente para una misma evaluación se generan dos tipos diferentes de in-
forme final:
4.4.1. Ejecutivo
El informe ejecutivo está orientado a lectores que carecen de conocimiento téc-
nico, centrándose en las consecuencias que podría ocasionar la explotación de las
vulnerabilidades más que en el descubrimiento de las mismas.
Este documento, cuyo target suele ser personal ejecutivo, expone una visión gene-
ral de la seguridad en el sistema auditado pasando por encima de las vulnerabili-
dades en cada dispositivo. También se explica el por qué de las vulnerabilidades
cuya solución es prioritaria y finaliza con unas conclusiones generales extraídas
de la evaluación.
4.4.2. Técnico
El informe técnico está orientado a lectores con cierto nivel técnico o directa-
mente a los profesionales encargados de llevar a cabo las modificaciones enume-
radas en este documento. Es aquí donde sí que se tiene que mostrar absolutamen-
te toda la información obtenida durante la evaluación.
SATAN o satán.
33
34 Análisis de mercado
seguridad.
No fue hasta Octubre de 2016 cuando se inició la última tendencia. Con la ad-
quisición de FlawCheck por parte de Tenable, se añadió a la solución de estos el
escaneo de vulnerabilidades durante el proceso de desarrollo de contenedores.
Este movimiento supuso un puñetazo encima de la mesa por parte de la empresa
de Maryland, al ser los primeros en proporcionar evaluación de vulnerabilidades
para la popular tecnología de Docker.
Pese a todas estas nuevas tecnologías hay otras muchas con un mayor recorri-
do y con las que cuentan la mayoría de las empresas de este sector.
A día de hoy casi todas la soluciones ofrecen escaneo autenticado, auditoria de
la configuración y priorización de vulnerabilidades basadas en el contexto del
negocio. Hay otras tecnologías menos comunes como el agente de sistema y la
priorización basada en inteligencia de amenazas, acabando con las más exclusi-
vas como el análisis de los registros de contenedores.
Sin embargo, aunque hayan empresas que tengan en común estas tecnologías,
unas las logran potenciar más que otras debido a la combinación con herramien-
tas de terceros o a una gran personalización de las mismas. Estos puntos se deta-
llarán a la hora de exponer las soluciones de cada empresas en puntos posteriores.
Como hemos podido observar, son muchos los aspectos a tener en cuenta a la
hora de elegir la solución óptima para nuestra empresa.
Es por ello que en las siguientes páginas se explicarán en detalle los productos
más diferenciados del mercado basándose en algunas empresas de The Forrester
Wave o la Ola de Forrester, un estudio realizado por la multinacional de investi-
gación de mercados Forrester, que evalúa el mercado de Gestión de Vulnerabili-
dades de Riesgo a fecha del primer cuatrimestre de 2018[23].
5.1 Líderes
5.1.1. Rapid7
Rapid7, Inc.[26] es una empresa fundada en el año 2000 que provee soluciones
analíticas para operaciones de seguridad e información. Esta empresa con sede en
5.1 Líderes 37
metasploit merece una mención a parte entre los productos de Rapid7, al tratarse
del famoso software para tests de penetración de equipos de seguridad ofensiva.
Este producto es considerado sin lugar a dudas el mejor en su área y es utilizado
por todo el mundo por su gran base de datos de exploits proveniente de Rapid7 y
su versatilidad para realizar ataques.
El producto que interesa analizar en este caso es insightVM. Esta solución ofrece
por si sola todas las fases que cabrían esperar en una implementación correcta de
la evaluación y gestión de vulnerabilidades.
Para la catalogación de activos hace uso de los agentes instalados en cada punto.
Estos agentes también ayudarán al escaneo de vulnerabilidades, el cual se reali-
za con otro exitoso producto de Rapid7, el escáner Nexpose, también líder en el
sector del escaneo de vulnerabilidades gracias a la extensa y actualizada base de
datos de vulnerabilidades de Rapid7.
Una vez obtenidos todos los datos de la red se procederá a validar y cuantifi-
car la importancia de las vulnerabilidades según el sistema de puntuación propio
de insightVM.
Con todo esto, insightVM proporciona una forma de recolectar datos de vulne-
rabilidades de una forma disponible en todo momento, escalable y eficiente a la
hora de minimizar riesgos. Utiliza las últimas tecnologías analíticas en el acti-
vo para descubrir las vulnerabilidades en tiempo real, establecer su localización,
priorizarlas de acuerdo al sistema y facilitar su solución.
Pero los dos apartados en los que se ha centrado Rapid7 es en proporcionar la
mejor visibilidad de la red y facilitar una remediación los más eficiente posible.
Para asegurar una mejor visibilidad se apuesta por la monitorización de los ac-
tivos continua gracias a Insight Agent. Este agente recolecta automáticamente
datos de todos los activos, incluso de los trabajadores que se conectan en remoto,
incluyendo los activos con información sensible que no son alcanzables mediante
los escaneos activos o los que forman parte de la red empresarial solo temporal-
mente.
El impacto de Insight Agent en la red es mínimo ya que envía una captura con los
datos del activo tras la instalación y posteriormente solo envía los cambios que se
dan en este. Los datos que se obtienen de este agente se pueden unificar con los
datos obtenidos de las soluciones insightIDR e insightOps, necesitando un único
agente para usar los tres productos a la vez.
38 Análisis de mercado
Este agente se puede desplegar fácilmente sobre activos Windows, Mac y Linux,
gestionando automáticamente las actualizaciones necesarias para este sin necesi-
dad de configuración adicional.
Insight Agent también se puede incrustar en diferentes tecnologías como las imá-
genes de nube y virtuales para que estas sean detectadas tan pronto como se
activen.
Por último, para hacer una remediación eficiente de las vulnerabilidades se reali-
za un análisis de riesgo basado en el atacante, priorizando como este lo haría.
Para cada vulnerabilidad se obtiene una puntuación granular Real Risk valora-
da entre 1 y 1,000 que tiene en cuenta las puntuaciones CVSS, la exposición del
malware, la exposición del exploit y la facilidad de uso de este, y el tiempo que
lleva en activo la vulnerabilidad.
Gracias a ello se obtiene una priorización de vulnerabilidades más precisa que
las obtenidas en la competencia. Estos análisis se alimentan de bases de datos
públicas de amenazas y de otras en propiedad basadas en la inteligencia de los
equipos de investigación de Rapid7.
Adicionalmente insightVM cuenta con un sistema de etiquetado para que el usua-
rio pueda realizar una asignación en función de la criticidad del activo, impactan-
do el valor de esta etiqueta en la priorización de vulnerabilidades.
Combinando estas dos características insightVM se encargará de valorar la prio-
ridad de cada amenaza en el proyecto de remediación general de toda la red, para
que sea securizada de la forma más eficiente posible.
Características destacables:
Áreas de mejora:
5.1.2. BeyondTrust
BeyondTrust[27] es una empresa de ciberseguridad global fundada en 1985 y
con sede en Phoenix, Arizona.
Sus soluciones de seguridad son muy conocidas y usadas en el sector, incluyendo
entre sus clientes a más de la mitad de las empresas del Fortune 100 4 .
El producto a analizar se vende bajo el nombre de Retina CS. Esta solución pro-
porciona un servicio de evaluación, gestión y remediación de vulnerabilidades a
grande escala y multiplataforma.
Mediante el uso de módulos extra también puede llegar a realizar la gestión de
vulnerabilidades para dispositivos móviles (Retina CS for Mobile), la gestión de
parches (Retina Patch Management Module), la gestión de configuraciones (Reti-
na Configuration Compliance Module) y la generación de informes de conformi-
dad (Retina Configuration Compliance Module).
En este momento se vuelve a evaluar cada activo con sus respectivas vulnera-
bilidades encontradas y se establece el potencial de las amenazas gracias a un
análisis combinado con la inteligencia de BeyondTrust.
Para la remediación se comienza aplicando los parches pertinentes si se dispone
4 Fortune 100: Ránking anual de las 100 mejores empresas del mundo elaborado por la revista
Fortune
5 Privileged Access Management: Gestión del Acceso Privilegiado
42 Análisis de mercado
Esta solución está altamente orientada a obtener resultados, por ello lo prime-
ro que hay que realizar antes de cada proceso de evaluación es especificar los
objetivos a conseguir, ya sea un informe de conformidad del sistema o un infor-
me sobre la seguridad de un activo en concreto.
Por ello se cuenta con más de 260 informes destinados a lectores técnicos y no
técnicos, y se pueden programar evaluaciones y configurar alertas por mail deri-
vadas de estos procesos.
Es por todas estas cualidades que no sorprende que BeyondTrust sea considerado
un líder de mercado, ofreciendo seguridad a instituciones de la talla de la NASA,
grandes empresas de comunicación como Verizon o grandes empresas interna-
cionales muy dependientes de su ciberseguridad como Blizzard Entertainment,
Intel, NBC, Oracle, Paypal y Ubisoft.
Tener clientes de esta talla no hace más que confirmar la profesionalidad y la ca-
lidad de las soluciones ofrecidas por BeyondTrust.
Características destacables:
Control centralizado y muy escalable, puede cubrir una red de clase A con
un solo motor de escaneo Retina
Áreas de mejora:
44 Análisis de mercado
Para realizar los escaneos con autenticación variante también hay que ad-
quirir PowerBroker
Interfaz muy poco visual e intuitiva
5.1.3. NopSec
La empresa NopSec[28] es sin ningún lugar a dudas la menos conocida y la
más pequeña de las cuatro empresas consideradas líderes del sector.
Esta empresa con sede en Nueva York fue fundada en 2009 con la misión de ayu-
dar a la gente a tomar mejores decisiones para reducir los riesgos de seguridad a
través de su software como servicio o Software-as-a-Service.
Para ello en 2012 lanzan su hasta día de hoy único producto de gestión de riesgos
de vulnerabilidad, Unified VRM.
Unified VRM es una solución que concentra en una sola plataforma todas las eta-
pas necesarias para una correcta evaluación y gestión de vulnerabilidades, ade-
más de una plataforma de tickets para organizar la remediación de estas.
Una vez completado el escaneo, Unified VRM crea una lista de amenazas prio-
ritaria y genera una serie de gráficos e informes para hacer un seguimiento del
progreso mientras los parches son aplicados y se realizan los cambios pertinen-
tes. Uno de los puntos fuertes de esta solución son estos gráficos destinados al
personal no técnico y el fácil análisis y filtrado de los riesgos encontrados.
Una vez realizado el trabajo análisis desde el apartado Analytics se tiene acceso a
un buscador para filtrar las vulnerabilidades encontradas en los activos escanea-
dos. En él se puede hacer búsquedas teniendo en cuenta las tendencias a nivel
mundial en cuanto a vulnerabilidades o las características deseadas por el usua-
rio tan variadas como el factor de riesgo, el número de ocurrencias, el nombre de
la vulnerabilidad, etc.
Estas búsquedas, de las cuales también se pueden sacar gráficos, se pueden guar-
dar directamente en forma de informe, siendo esta una característica de la que
carece la competencia.
Características destacables:
Áreas de mejora:
5.1.4. Qualys
Qualys, Inc.[29] es una empresa dedicada a la ciberseguridad con productos
para seguridad en la nube, servicios de conformidad, evaluación y gestión de
vulnerabilidades y diversos servicios relacionados con la seguridad.
Fundada en 1999 y con sede en Foster City, California, fue la primera empresa
en ofrecer la gestión de vulnerabilidades como aplicación web con un modelo de
SaaS o software como servicio.
Esto unido a la calidad de sus soluciones le ha llevado a liderar continuadamente
prácticamente todos los estudios de mercado realizados sobre soluciones de ges-
tión de vulnerabilidades.
Qualys Cloud Platform recibe toda la información que necesita de cuatro posi-
bles fuentes propias:
Esta plataforma única permite gestionar todos los productos ofrecidos por Qualys,
que al tener soluciones para todos los campos permite al comprador evitar tener
que acudir a diferentes vendedores para confeccionar toda la ciberseguridad de
la empresa a defender.
Los datos se recolectan y analizan de manera automática y escalable, que sumado
a la tecnología de Cloud Agent permite conocer en tiempo real el estado de todos
los activos y posibles nuevas vulnerabilidades, pudiendo configurar notificacio-
nes automáticas para cuando se detecten.
Qualys también ofrece una integración nativa con las plataformas de nube de
terceros más importantes, como son Google Cloud Platform, Microsoft Azure y
Amazon Web Services, con el fin de proporcionar una visibilidad completa.
En este caso de estudio la aplicación que más interesa analizar es Qualys Vul-
nerability Management, la cual, según la propia empresa, se trata de la solución
de gestión de vulnerabilidades más avanzada, escalable y extensible de la indus-
tria.
Qualys VM, además de los escaneos realizados por los dispositivos de Qualys,
hace uso de Cloud Agent para realizar escaneos autenticados en cada dispositi-
vo, minimizando a su vez el impacto en la red de la empresa.
Los escaneos e identificación de vulnerabilidades son continuos y realizados con
una precisión de Six Sigma6 , reduciendo al mínimo los falsos positivos.
Siendo como las empresas van adoptando el procesamiento en la nube y adqui-
riendo una mayor movilidad Qualys ofrece soporte para este tipo de ambientes
informáticos híbridos.
En lo que respecta al informe Qualys VM cuenta con una amplia librería de infor-
mes ya incluidos que son susceptibles de personalización por parte del usuario,
todo ello sin tener que volver a realizar el escaneo. Estos informes se pueden ge-
nerar bajo demanda o ser planificados y automatizados, pudiendo generarse para
visualización en web, PDF o CSV.
Cuando se encuentran vulnerabilidades, se generan y asignan automáticamente
tickets de remediación y existe la posibilidad de integrar estos resultados con sis-
temas de tickets de terceros.
Por lo visto hasta ahora se podría considerar Qualys VM una buena herramienta
de evaluación y gestión de vulnerabilidades aunque no completa. Estas carencias
se suplen con el uso de dos de las Qualys Cloud Apps integradas: Asset Inven-
tory y Security Configuration Assessment.
Si lo que se quiere es una visión más generalista del sistema también se dispone
de una serie de gráficos que muestran el estado de los activos y las vulnerabili-
dades con porcentajes y gráficos sectoriales representativos.
Características destacables:
Áreas de mejora:
Con la incursión en las redes de este tipo de activos dinámicos también se fuerza
5.2 Actores Fuertes 53
Todos los activos son seguidos con el sistema de Pinpoint Asset Tracking, me-
diante el cual se sigue cada activo y sus respectivas vulnerabilidades con una
gran precisión, maximizando la visibilidad y el conocimiento sobre la red para
poder priorizar efectivamente las vulnerabilidades del sistema.
Este algoritmo consigue identificar hasta los activos dinámicos gracias a que esta-
blece la identidad del activo a través de una extensa lista de atributos que permite
realizar un seguimiento independientemente de donde se encuentren o de cuanto
duren en la red. Entre otros atributos podemos encontrar el Tenable ID, el nombre
de NetBIOS o la dirección MAC.
Características destacables:
Modelo de licenciado por activo en vez de por IP, pudiendo tener una licen-
cia para un activo con diversas direcciones IP
Áreas de mejora:
Este tipo de gestión utiliza una gran cantidad de datos de diferentes fuentes y
analizando los datos desde perspectivas múltiples. Es por ello que este proceso
debe de ser automatizado. Entre las diferentes tareas automatizadas se encuen-
tran:
Todas estas tareas pueden ser secuenciadas y programadas para crear procesos
que se realicen de manera regular. El proceso completo de Skybox VM divide su
trabajo en cinco fases diferenciadas.
En resumen, se trata de una plataforma desde la que se puede observar por com-
pleto la superficie de ataque, incluyendo vulnerabilidades y vectores de ataque
potenciales de un modo visual e interactivo.
Se pueden automatizar los procesos de gestión de vulnerabilidades, desde la eva-
luación a la remediación y supervisión, ofreciendo alternativas eficientes a algu-
nos parches y por tanto mejorando la consecución de los acuerdos de nivel de
servicio (SLAs) en la red.
Esta reducción de riesgos se puede medir y seguir de una forma fácil para iden-
tificar dónde pueden faltar más recursos y demostrar el progreso mediante los
paneles que se muestran.
Características destacables:
Áreas de mejora:
Además, esta solución es ofrecida como SaaS, sin la necesidad de mantener una
infraestructura adicional por parte del cliente, quitando del Frontline RNA, el
cual se explicará posteriormente.
A estas facilidades se les une un muy buen servicio de soporte al cliente con dis-
ponibilidad 24/7 en todos los packs que se ofrecen.
Este dispositivo hace uso del motor de escaneo NIRV, también propiedad de Di-
gital Defense, el cual propone una metodología de escaneo diferente a la de la
competencia. Mientras que las tecnologías de otras empresas ofrecen una audi-
toria de cada servicio en aislamiento de una manera repetitiva, NIRV es capaz
de auditar redes enteras como una serie de entidades contiguas, donde la infor-
mación recolectada de un activo, servicio o aplicación es tenida en cuenta en el
escaneo del resto de la red.
Características destacables:
Áreas de mejora:
5.3 Competidores
5.3.1. Kenna Security
Kenna Security[33] es una joven empresa fundada en 2009 con sede en San
Francisco, California, que se dedica exclusivamente a proveer soluciones de ges-
tión de vulnerabilidades e inteligencia de riesgo.
El hecho de que no preste las herramientas de escaneo de vulnerabilidades no im-
pide a esta herramienta ser considerada una competidora debido a la excelente
gestión que realiza en el resto de etapas de la evaluación y gestión de vulnerabi-
lidades.
La solución estándar también se vende bajo el nombre de Kenna Security aunque
se puede expandir con Application Risk Module, el módulo destinado a asistir en
el desarrollo seguro de aplicaciones.
Por último también cuenta con informes generalistas a base de gráficos para po-
der mostrar los resultados del trabajo realizado a personal no técnico. Los infor-
mes se pueden hacer desde generales hasta de grupos en concreto y se pueden
exportar desde la misma pestaña de Dashboards, como se puede observar en la
figura 5.19 .
Características destacables:
Áreas de mejora:
5.3.2. Tripwire
En 1992 y como reacción al escándalo del Gusano Morris, incidente que ya
se ha explicado con anterioridad, el estudiante de la Purdue University, Gene
Kim junto con su profesor Gene Spafford crearon la versión inicial del software
Tripwire[34]. Aunque se creó por aquél entonces, no sería hasta 1997 que se fun-
dó la empresa que lleva por nombre el de este pionero software de detección de
intrusiones.
r!: Es el factor ’clase de riesgo’, representa la amenaza que supone tener la vulne-
rabilidad n en un sistema s.
Este es establecido por el VERT con valores desde 0 para vulnerabilidades de re-
velaciones de información hasta 720 para vulnerabilidades remotas con las que
se puede obtener privilegios administrativos completos.
s: Es una medida de la ’habilidad’ necesaria por parte del atacante para llevar
a cabo un ataque que explote la vulnerabilidad n.
Esta es establecida por el VERT con valores desde 6 para vulnerabilidades sin
exploits disponibles hasta 1 para vulnerabilidades con exploits ya automatizados
disponibles.
Características destacables:
Áreas de mejora:
5.4 Desaadores
5.4.1. Beyond Security
La empresa Beyond Security Ltd.[35] fue fundada en 1999 con el objetivo de
proveer a los clientes herramientas para gestionar las debilidades de las redes.
Esto se logra gracias a una visión en tiempo real de los activos y de la red en
general, priorizando los activos vulnerables para mejorar la seguridad de la red
de manera eficiente. beSECURE lo consigue mediante escaneos automáticos de
todos los nodos con direcciones IP y una base de datos de vulnerabilidades ac-
tualizada cada hora.
Para lograr un resultado satisfactorio para el cliente el equipo de Beyond Secu-
rity ha decidido centrarse en tres diferentes aspectos: La precisión del análisis, la
felxibilidad del producto y la simplicidad.
que pueden securizar por completo un activo no actualizado. Este tipo de escaneo
de los activos resulta en:
Resultados más utilizables, dado que se crean informes más sucintos y pre-
cisos se incluyen más recomendaciones de mitigación que aportan un ma-
yor valor
beSECURE II, hace uso de un sensor hardware ADVS, el cual tiene todos
los datos almacenados en el interior y cuenta con una gran seguridad, ex-
cediendo los estándares internacionales. Esta versión es ideal para entornos
SMB y puede llegar hasta las 2,500 IPs
Los informes están construidos según el lector para el que vayan dedicado, los
hay para ejecutivos, gerentes y administradores entre otros. Un informe destaca-
do es el de conformidad con la GDPR, que supone un punto a favor dadas las
fechas que corren.
Características destacables:
Áreas de mejora:
0: Inexistente
1: Deficiente
2: Regular
3: Bien
4: Muy Bien
5: Excelente
5.5 Conclusiones del análisis de mercado 69
Gestión de activos 5 4 4 5 5
Enumeración Vulnerabilidades 5 5 4 5 5
Calidad de la base de datos 5 4 4 5 4
Nube y contenedores 5 3 3 5 5
Compatibilidad e integración 5 5 5 5 5
Algoritmo de priorización 5 4 5 5 3
Evaluación de la conformidad 0 5 4 0 0
Generación de informes 2 5 5 4 3
Usabilidad de la solución 5 2 5 4 4
Soporte del vendedor 3 4 3 3 3
Gestión de activos 3 4 0 3 3
Enumeración vulnerabilidades 2 2 0 4 4
Calidad de la base de datos 4 4 5 4 4
Nube y contenedores 4 3 0 2 2
Compatibilidad e integración 4 3 3 3 4
Algoritmo de priorización 5 4 4 5 3
Evaluación de la conformidad 0 4 0 0 4
Generación de informes 0 4 4 3 2
Usabilidad de la solución 2 4 4 2 2
Soporte del vendedor 3 5 4 3 2
70 Análisis de mercado
Pero como ya se ha visto a lo largo del análisis cada solución tiene característi-
cas únicas en el mercado, como único es el entorno y las necesidades de cada
empresa. Es por ello que a continuación se mostrará el proceso de la elección de
herramienta para la evaluación y gestión de vulnerabilidades por parte de dos
empresas ficticias pero con entornos muy reales y usuales en una gran cantidad
de empresas.
Los usuarios pueden hacer uso de los juegos localmente pero para realizar los
pagos necesitan conectarse directamente a uno de los múltiples servidores públi-
cos propiedad de Alpha. La infraestructura interna es una red de unas 500 IPs
donde coexisten desarrolladores y personal no técnico.
La dirección de la empresa tiene un especial interés en controlar la evaluación y
gestión de vulnerabilidades a la par que la conformidad con el PCI, por ello se
busca una solución con una generación de informes potente y también orientado
a personal no cualificado.
Para encontrar la solución óptima primero siempre hay que buscar los aspec-
tos que sean importantes para la empresa y sean más difíciles de encontrar en el
mercado. En este caso ese aspecto es la evaluación de la conformidad con el PCI.
De todas las soluciones analizadas solo dos proporcionan informes de conformi-
dad con PCI, y estas son las soluciones de NopSec y Digital Defense. Aunque a
priori NopSec se encuentra un escalón por encima de Digital Defense al ser con-
siderados líderes de sector y los segundos solo actores fuertes, hay que analizar
las necesidades de la empresa para ver cual se adecua mejor a los requerimientos.
estándar.
Pese a que a priori la solución de NopSec parecía partir con ventaja, tras analizar
las características buscadas por el cliente se puede comprobar como la solución
de Digital Defense mejora con creces a su adversario.
Si a esto se le une que esta solución se ofrece por un precio menor a la de NopSec
queda en evidencia que la solución óptima para la evaluación y gestión de vul-
nerabilidades en la empresa Alpha es Frontline Vulnerability Manager, de Digital
Defense.
En este caso el hecho de que todos los servicios al público sean hechos a tra-
vés de Amazon AWS, unido al uso de contenedores internamente facilita mucho
el primer filtrado de soluciones.
Estos dos aspectos son críticos para la empresa, y el hecho de tratarse de una em-
presa que se dedica al sector de la seguridad no hace sino acentuar la importancia
de una buena ciberseguridad de cara a posibles atacantes externos.
Es por ello que se decidirá la solución entre las empresas que oferten un mejor
control sobre la nube y los contenedores, o lo que es lo mismo, entre las solucio-
nes de Rapid7, Qualys y Tenable.
No hay más que echar un vistazo a la tabla de calificaciones sacada como con-
clusión del estudio de mercado para observar la igualdad de estas tres soluciones
en todos los puntos, con Qualys destacando un poco en la generación de infor-
mes y Tenable con unos resultados ligeramente inferiores en general al de las dos
empresas líderes en el sector.
Una vez analizadas todas las opciones claramente la mejor opción en casi to-
dos los aspectos es inisghtVM de Rapid7, sin embargo la calidad de sus informes
generados podría suponer un problema para la empresa si se les da una gran im-
portancia a estos en detrimento de la gestión de la remediación.
Si el caso fuera tal, la mejor opción sería Tenable.io, que ofrece una generación
de informes de calidad aceptable penalizado solo con una ligera bajada de nivel
respecto de insightVM en el resto de funcionalidades.
CAPÍTULO 6
Conclusiones
Hoy en día casi todas las organizaciones hacen uso de pruebas de pentesting, un
proceso que busca vulnerabilidades en el sistema pero priorizando la profundi-
dad, no siendo de mucha utilidad para empresas sin una ciberseguridad notable
previa. Sin embargo la evaluación y gestión de vulnerabilidades es un proceso
que se centra en la amplitud, abarcando las vulnerabilidades en toda la red de la
empresa frente a la profundización que puede hacer un pentest haciendo uso de
73
74 Conclusiones
Con todo esto se espera haber realizado un documento que explique el proce-
dimiento de la evaluación y gestión de vulnerabilidades y a su vez ser legible
para personal no técnico sin renunciar a una gran cantidad de información técni-
ca de las distintas soluciones.
Resulta sorprendente la cantidad de empresas que no cuentan con una correcta
evaluación y gestión de vulnerabilidades, más aún tras ver todas las bondades de
este procedimiento continuo, y es por ello que se ha pretendido darlo a conocer
en profundidad.
75
76 BIBLIOGRAFÍA